Időzavarban az állami intézmények

Az állami intézményeknek néhány héten belül meg kell felelniük az információbiztonsági törvény szigorú előírásainak, ez azonban a lehetetlennel határos.

Csaknem egy éve lépett hatályba az információbiztonsági törvény, amely egy év felkészülési időt ad az önkormányzatoknak és más állami szerveknek, hogy létrehozzák ezzel foglakozó szervezetüket, kialakítsák ezzel kapcsolatos folyamataikat és kockázati osztályokba sorolják az általuk kezelt hihetetlen mennyiségű adatot. A júliusi határidő vészesen közeleg, és sok szervezet sehol sem tart még a munkával, mert a felmérés drága, és szinte sehol sem jelenik meg a költségvetésekben.

Nem kérdés, hogy a lemaradás mértéke és a kockázatarányos védelem eleve sürgőssé teszi az állami szféra felzárkózását az információbiztonság területén, de az információbiztonsági törvény által szabott szűk határidő a jelek szerint nem lesz elég az állami szervezeteknek arra, hogy teljesítsék az előírtakat. Az állami szektornál kezelt adatvagyon méretéhez képest már az egyéves időkeret sem volt bőséges az információbiztonsági törvényre való felkészülésre, de a mögöttünk álló öt hónapban alig mozdult valami. Úgy érkezünk el a júliusi kockázati osztályba sorolás határidejéhez, hogy van olyan szervezet, amely még nem is hallott a 2013/L infobiztonsági törvényről.

A törvény szerint közel 3200 helyi önkormányzatnak, csaknem 8000 oktatási intézménynek és további néhány ezer kórháznak, bíróságnak és más közigazgatási intézménynek kell felmérnie a 77/2013. (XII. 19.) NFM-rendelet alapján, hogy milyen adatvagyon felett őrködik, és az milyen kockázatnak van kitéve. Ez nemcsak időben, de pénzügyi ráfordításban is rendkívül jelentős tétel lesz, mert nem elég, ha a helyi informatikus a hasára csap, és valamilyen szempontok alapján rangsorolja a kockázatokat. Ez pedig azt jelenti, hogy az elvégzendő munka alsó hangon 50, gondos és körültekintő munkával pedig legalább 100 milliárd forintjába fog kerülni az érintett szervezeteknek.

Márpedig ezen a téren jó lenne elkerülni, hogy ez a nemzetbiztonságilag fontos feladat a szűkös finanszírozás miatt az alacsony árat kínáló kalandoroknak dobott mézesmadzag legyen, mert a hamis biztonságtudatnál még a felvállalt kockázat is jobb. A KPMG nemzetközi adatvesztési barométere szerint az összes biztonsági incidens közül a kormányzati szektor a maga 16,4 százalékával ötször olyan kedvelt célpont, mint a támadásokkal kapcsolatban sokszor emlegetett pénzügyi szektor. A biztonsági incidensek 67,2 százaléka hackertámadás, kisebb része adatvesztés, adatszivárgás.

A kockázatok felmérése nélkül nem alakíthatók ki ezek ellen védő hatékony biztonsági rendszerek. Ha ezt elmulasztjuk, esetleg olyasmit fogunk nagy erőkkel védelmezni, ami értéktelen, vagy amit senki sem akar megtámadni vagy megszerezni. Márpedig a kockázatok értékelése önmagában sem egyszerű feladat, és különösen nem az egy olyan szektorban, amelyben az adatvagyon felhasználása gyorsan változik. A közigazgatás pedig éppen ilyen terület, hiszen a kormány nagy hangsúlyt helyez például az egykapus ügyintézés kialakítására. Ez a rendszer számos olyan bizalmas adatot kezel majd, melyet az állampolgárok joggal akarnak védve tudni. Ezt az igényt már a rendszer tervezésekor is figyelembe kell venni.

Az sem csökkenti a tennivalókat, hogy az adatok egy része bizonyosan már most is megfelelő informatikai védettséggel rendelkezik. A szankciók elkerülése érdekében ugyanis ott is auditálni kell a kockázatkezelési eljárásokat, ahol azok végül megfelelőnek minősülnek. Merthogy a törvény szankciókat, 5 millió forintos bírságot is kilátásba helyez arra az esetre, ha egy érintett szerv vagy vállalkozás a megadott határidőre nem felelne meg az elvárásoknak, sőt az állam akár infobiztonsági felügyelőt is kinevezhet a renitens szereplőkhöz, akik – akár az üzleti életben a csődbiztosok – szabadon priorizálhatják az intézmény projektjeit, hogy érvényt szerezhessenek a törvény szavának, még a szűkös költségvetésű szervezeteknél is.

Az elvégzendő feladatok komplexitása és a feldolgozandó, elképesztő mennyiségű védendő adatvagyon mellett tovább nehezíti a törvénynek való megfelelést, hogy az érintett szervezetek köre is bizonytalan. A jogszabály szerint ugyanis az előírt módon kell védeni több stratégiai terület infokommunikációs infrastruktúráját és az általa kezelt adatokat. Ezt az elvet követve a kör tovább tágul olyan közszolgáltatásokkal, mint az energiaellátás, az egészségügy vagy a közlekedés. És ezen a téren már nemcsak az állam és intézményei informatikai problémáiról beszélünk, hanem a tulajdonviszonyokról és a tulajdonosok hozzáállásáról is.

A cikk a Napi Gazdaság 2014. június 3-i számában jelent meg.

Amennyiben tetszett Önnek bejegyzésünk, ossza meg ismerőseivel:
Share on LinkedIn0Share on Facebook0Share on Google+0Tweet about this on TwitterEmail this to someone

Fűzzön hozzá gondolatokat